Windows主機安全加固檢查列表

./目錄1賬戶管理31.1用戶管理31.2弱口令修改31.3密碼策略31.4帳戶鎖定策略32本地策略42.1審核策略：43服務53.1關閉不必須的服務54網(wǎng)絡協(xié)議74.1刪除TCP/IP外的其他網(wǎng)絡協(xié)議：74.2解除NetBios與TCP/IP協(xié)議的綁定：74.3使用TCP/IP篩選限制端口：75注冊表設置85.1關閉默認共享85.2減少DDOS攻擊的影響85.3處理HTTP/FTP半連接請求85.4禁用CD-ROM的自動運行85.5刪除OS2、POSIX子系統(tǒng)95.6防止ICMP重定向報文的攻擊95.7禁止響應ICMP路由通告報文95.8保護內(nèi)核對象標志95.9禁止建立空連接95.10禁用路由功能95.11檢查RUN106文件系統(tǒng)與權限116.1使用NTFS文件系統(tǒng)116.2保護重要的EXE程序116.3刪除無用的系統(tǒng)文件和目錄116.4保護重要系統(tǒng)文件和目錄126.5加密重要、敏感文件126.6系統(tǒng)、文件的備份：127常規(guī)安全137.1更新Windows安全補?。?37.2使用防病毒軟件：137.3使用木馬掃描軟件：137.4使用個人防火墻：137.5其他常規(guī)安全設置：14賬戶管理用戶管理序號用戶管理檢查確認停用guest帳號：以防止未授權的用戶訪問。默認停用,檢查確認。限制不必要用戶的數(shù)量：除日常使用、管理用帳號外,停用其他不必要的帳號、刪除廢棄帳號重命名administrator帳號：重命名administrator帳號,創(chuàng)建一個低權限的名為"administrator"的本地帳號,設置復雜密碼,作為陷阱帳號。方法：控制面板－》管理工具－》計算機管理－》本地用戶和組弱口令修改使用口令猜測工具掃描計算機的弱口令帳戶,并根據(jù)掃描結果,提交用戶修改密碼策略序號策略設置檢查確認密碼必須符合復雜性要求啟用密碼長度最小值6位密碼最長存留期30天密碼最短存留期密碼強制歷史5次方法：控制面板－》管理工具－》本地安全策略－》帳戶策略帳戶鎖定策略序號策略設置檢查確認復位帳戶鎖定計數(shù)器20分鐘帳戶鎖定時間20分鐘帳戶鎖定閥值3次方法：控制面板－》管理工具－》本地安全策略－》帳戶策略.本地策略審核策略：序號策略設置檢查確認審核策略更改成功失敗審核登錄事件成功失敗審核對象訪問失敗審核過程追蹤審核目錄服務訪問失敗審核特權使用失敗審核系統(tǒng)事件成功失敗審核帳戶登錄事件成功失敗審核帳戶管理成功失敗方法：控制面板－》管理工具－》本地安全策略－》本地策略.服務關閉不必須的服務序號服務設置說明Alerter手動提供管理性的警告功能,通過NetSend命令ApplicationManagement手動提供軟件安裝服務,諸如分派,發(fā)行以及刪除ClipBook己禁用通過網(wǎng)絡共享剪貼板中的內(nèi)容ComputerBrowser手動維護網(wǎng)上鄰居的計算機列表〔局域網(wǎng)內(nèi)僅需啟用一臺DHCPClient已禁用手動配置網(wǎng)絡設置時,禁用此服務Distributedlinktrackingclient手動局域網(wǎng)文件、資源連接信息更新〔較耗內(nèi)存DistributedTransactionCoordinator手動SQLServer使用Errorreportingservice己禁用發(fā)送錯誤報告給微軟Fax己禁用提供傳真功能IndexingService己禁用很耗資源的目錄索引服務,應禁用InternetConnectionSharing手動用于Internet連接共享IPSECPolicyAgent手動用于IP安全協(xié)議〔IPSEC,VPN、無線等用LogicalDiskManager手動用于支持磁盤管理控制,設置成手動,需要時啟動LogicalDiskManagerAdministrativeService手動Messenger手動和Alerter服務一同使用,與MSN沒有關系NetLogon手動只用于在基于域的網(wǎng)絡中登錄NetMeetingRemoteDesktopSharing已禁用允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。NetworkConnections手動管理"網(wǎng)絡和撥號連接"文件夾中對象NetworkDDE已禁用動態(tài)數(shù)據(jù)交換。ClipBook服務時少數(shù)幾個使用網(wǎng)絡DDE的程序之一。禁用以防被遠程啟動NetworkDDEDSDM已禁用NTLMSecuritySupportProvider手動提供RPC連接的驗證,極少用,ExchangeServer使用PerformanceLogsandAlerts手動配置性能日志和警報PortableMediaSerialNumberService手動獲取連接到計算機上的便攜音樂播放器序列號,向播放器傳送受保護的內(nèi)容時需要這個序列號QoSRSVP手動為應用程序提供QOS,常見的為NetMeetingRemoteAccessAutoConnectionManager已禁用常用于自動撥號到ISP,非撥號用戶可禁用RemoteAccessConnectionManager手動創(chuàng)建網(wǎng)絡連接并管理網(wǎng)絡連接文件夾RemoteDesktopHelpSessionManager已禁用遠程協(xié)助功能,WinXP用,危險且耗資源,應禁用RemoteProcedureCall<RPC>Locator手動幫助網(wǎng)絡上其他計算機發(fā)現(xiàn)這臺計算機上的基于RPC的程序,不常見。RemoteRegistryService已禁用遠程修改注冊表,危險的操作,應禁用RemovableStorage手動管理脫機存儲媒體,一般用于磁帶備份等RoutingandRemoteAccess已禁用在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務SmartCard手動用于支持智能卡身份驗證硬件SmartCardHelper手動TCP/IPNetBIOSHelperService手動提供NetBIOS名字管理Telephony手動支持調(diào)制解調(diào)器的連接Telnet已禁用提供通過遠程命令行對系統(tǒng)的訪問terminalservices已禁用實現(xiàn)遠程登錄本地電腦,快速用戶切換和遠程桌面UninterruptiblePowerSupply手動管理連接到計算機的不間斷電源<UPS>WindowsInstaller手動管理Windows安全程序〔.msiWindowsManagementInstrumentationDriverExtensions手動與驅(qū)動程序間交換系統(tǒng)管理信息WindowsTime手動時間同步服務說明：以上服務列表基于Win2000系統(tǒng),也包括WinXP中少量危險的服務以上未提及的服務為重要的系統(tǒng)服務,保持默認的自動設置,應用程序的服務請按情況設置以上列表中多數(shù)服務默認情況下已經(jīng)為手動啟動,檢查確認配置方法：在"運行"中輸入"services.msc"或者：控制面板－》計算機管理－》服務,中進行相應的修改.網(wǎng)絡協(xié)議刪除TCP/IP外的其他網(wǎng)絡協(xié)議：刪除TCP/IP外的NETBEUI,IPX/SPX等其他協(xié)議,刪除文件和打印共享方法：本地連接－》屬性解除NetBios與TCP/IP協(xié)議的綁定：減少NetBios漏洞的攻擊企圖和系統(tǒng)信息泄漏方法：本地連接－》屬性－》TCP/IP－》屬性－》高級－》WINS－》禁用TCP/IP上的NetBios使用TCP/IP篩選限制端口：UDP協(xié)議和ICMP協(xié)議一樣是基于無連結的,一樣容易偽造,所以如果不是必要〔例如要從UDP提供DNS服務之類應該選擇全部不允許,避免受到洪水〔Flood或碎片〔Fragment攻擊最右邊的一個編輯框是定義IP協(xié)議過濾的,我們選擇只允許TCP協(xié)議通過,添加一個6〔6是TCP在IP協(xié)議中的代碼,IPPROTO_TCP=6方法：本地連接－》屬性－》TCP/IP－》屬性－》高級－》選項－》TCP/IP篩選.注冊表設置關閉默認共享注冊表項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters序號鍵值類型值說明添加鍵值AutoShareServerDWORD0關閉C$等共享添加鍵值AutoShareWKSDWORD0關閉ADMIN$共享關閉IPC$共享減少DDOS攻擊的影響注冊表項：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters序號鍵值類型值說明SynAttackProtectDWORD2EnableICMPRedirecDWORD0SynAttackProtectDWORD2EnableDeadGWDetectDWORD0EnablePMTUDiscoveryDWORD0KeepAliveTimeDWORD300,000DisableIPSourceRoutinDWORD2TcpMaxConnectResponseRetransmissionsDWORD2TcpMaxDataRetransmissionsDWORD3PerformRouterDiscoveryDWORD0TCPMaxPortsExhaustedDWORD5處理HTTP/FTP半連接請求注冊表項：HKLM\System\CurrentControlSet\Services\AFD\Parameters序號鍵值類型值說明DynamicBacklogGrowthDeltaDWORD10EnableDynamicBacklogDWORD1MinimumDynamicBacklogDWORD20MaximumDynamicBacklogDWORD20000禁用CD-ROM的自動運行防止惡意程序的自動加載運行,防止病毒等的擴散。注冊表項：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer序號鍵值類型值說明NoDriveTypeAutoRunDWORD0xFF刪除OS2、POSIX子系統(tǒng)注冊表項：HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems序號動作刪除以下鍵值：Optional；OS2；POSIX防止ICMP重定向報文的攻擊注冊表項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters序號鍵值類型值說明EnableICMPRedirectsDWORD0禁止響應ICMP路由通告報文注冊表項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface序號鍵值類型值說明PerformRouterDiscoveryDWORD0保護內(nèi)核對象標志注冊表項：HKLM\SYSTEM\CurrentControlSet\Control\SessionManager序號鍵值類型值說明EnhancedSecurityLevelDWORD1禁止建立空連接注冊表項：Local_Machine\System\CurrentControlSet\Control\LSA序號鍵值類型值說明RestrictAnonymousDWORD1禁用路由功能注冊表項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\序號鍵值類型值說明IPEnableRouterDWORD0檢查RUN注冊表項：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrenVersion\Run序號動作檢查RUN,是否存在可疑的啟動項目.文件系統(tǒng)與權限使用NTFS文件系統(tǒng)NTFS相對FAT32擁有更優(yōu)秀的安全、效率和功能。在可能的情況下,所有分區(qū)都應該使用NTFS格式保護重要的EXE程序序號文件位置設置cmd.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問finger.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問nbtstat.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問netstat.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問rsh.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問rcp.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問route.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問telnet.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問tftp.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問tracert.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問c:\winnt\system32\只能由管理員訪問,其他用戶不能訪問net.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問ipconfig.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問ping.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問regedt32.exec:\winnt\system32\只能由管理員訪問,其他用戶不能訪問備注：另一種方法為創(chuàng)建一個只能由管理員訪問的目錄,把上述的文件都移到該目錄中刪除無用的系統(tǒng)文件和目錄序號類別文件/目錄說明DOS文件dos〔目錄查找并刪除,防止攻擊者進入DOSOS/2子系統(tǒng)文件OS2〔目錄Os2.exeOs2srv.exeOs2ss.exeNetapi.os2查找并刪除POSIX子系統(tǒng)Posix.exePsxdll.dllPsxss.exe查找并刪除保護重要系統(tǒng)文件和目錄在更高的安全需求的情況下,將需要對其他重要的系統(tǒng)文件和目錄進行更為細致的訪問權限控制,防止普通用戶越權行為的發(fā)生。詳盡的重要系統(tǒng)文件和目錄的信息,在需要實施的情況下,將在附件中提供加密重要、敏感文件對計算機上的重要文件、敏感數(shù)據(jù)進行加密存儲,使用Windows的加密文件系統(tǒng)〔EFS或者第三方的加密軟件進行保護。系統(tǒng)、文件的備份：對操作系統(tǒng)、重要文件,視具體需求,通過服務器集中備份、磁帶、移動介質(zhì)備份等方式進行異地備份.常規(guī)安全更新Windows安全補?。杭皶r升級Windows的安全補丁,是保證操作系統(tǒng)系統(tǒng)安全的重要基礎。建立健